Η hacking συμμορία Kimsuky κλέβει διαπιστευτήρια με ρώσικα email
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η hacking συμμορία Kimsuky κλέβει διαπιστευτήρια με ρώσικα email
https://www.secnews.gr/632973/hacking-symmoria-kimsuky-klevei-diapisteuthria-me-rwsika-email/
Dec 3rd 2024, 13:44
Η hacking συμμορία Kimsuky, που συνδέεται με τη Βόρεια Κορέα, έχει εμπλακεί σε μια σειρά επιθέσεων phishing, χρησιμοποιώντας email που εμφανίζονται να προέρχονται από ρωσικές διευθύνσεις αποστολέα, με στόχο την κλοπή διαπιστευτηρίων.
Σύμφωνα με τη νοτιοκορεατική εταιρεία κυβερνοασφάλειας Genians, «μέχρι τις αρχές Σεπτεμβρίου, τα phishing emails αποστέλλονταν κυρίως μέσω ιαπωνικών και νοτιοκορεατικών υπηρεσιών email. Ωστόσο, από τα μέσα Σεπτεμβρίου, εμφανίστηκαν emails που φαινόταν να προέρχονται από τη Ρωσία.»
Δείτε σχετικά: Ιαπωνία: Επιθέσεις από τους hackers Kimsuky
Αυτές οι επιθέσεις περιλαμβάνουν την κατάχρηση της υπηρεσίας email Mail.ru της VK, η οποία υποστηρίζει πέντε alias domains: mail.ru, internet.ru, bk.ru, inbox.ru, και list.ru. Η Genians παρατήρησε ότι η συμμορία Kimsuky χρησιμοποίησε όλα αυτά τα domains για phishing καμπάνιες, που συνήθως μεταμφιέζονταν σε χρηματοοικονομικά ιδρύματα ή διαδικτυακές πύλες όπως το Naver.
Άλλες επιθέσεις περιλάμβαναν ψευδή μηνύματα που μιμούνταν την cloud υπηρεσία αποθήκευσης MYBOX του Naver, προσπαθώντας να παραπλανήσουν τους χρήστες, ώστε να κάνουν κλικ σε συνδέσμους. Αυτά τα μηνύματα δημιουργούσαν μια αίσθηση επείγοντος, υποστηρίζοντας ότι έχουν εντοπιστεί κακόβουλα αρχεία στους λογαριασμούς τους που πρέπει να διαγραφούν. Παραλλαγές αυτών των phishing emails εμφανίστηκαν από τα τέλη Απριλίου 2024, με τις πρώτες επιθέσεις να προέρχονται από domains αποστολέα σε Ιαπωνία, Νότια Κορέα και Η.Π.Α.
Διαβάστε περισσότερα: Οι Kimsuky hackers χρησιμοποιούν κακόβουλη επέκταση Chrome για κλοπή στοιχείων
Εν τω μεταξύ, κάποια από αυτά τα μηνύματα φαίνονταν να αποστέλλονται από domains όπως "mmbox[.]ru" και "ncloud[.]ru". Ωστόσο, περαιτέρω ανάλυση αποκάλυψε ότι οι επιτιθέμενοι χρησιμοποίησαν έναν παραβιασμένο email server που ανήκε στο Πανεπιστήμιο Ευαγγελία (evangelia[.]edu) και αξιοποίησαν μια mailer υπηρεσία βασισμένη σε PHP, γνωστή ως Star, για την αποστολή των emails.
Η χρήση νόμιμων εργαλείων όπως το PHPMailer και το Star από την ομάδα Kimsuky δεν είναι καινούρια, καθώς είχε καταγραφεί και στο παρελθόν από την εταιρεία ασφάλειας Proofpoint τον Νοέμβριο του 2021. Ο απώτερος στόχος αυτών των επιθέσεων είναι η κλοπή διαπιστευτηρίων, τα οποία μπορούν να χρησιμοποιηθούν για την παραβίαση λογαριασμών και την εκκίνηση περαιτέρω επιθέσεων σε άλλους χρήστες ή συνεργάτες των θυμάτων.
Δείτε επίσης: Χάκερ της Βόρειας Κορέας συνδέονται με παραβίαση της Diehl Defence
Η hacking συμμορία Kimsuky έχει αποδείξει ιδιαίτερη ικανότητα στη διεξαγωγή καμπανιών κοινωνικής μηχανικής μέσω email, χρησιμοποιώντας τεχνικές που παραποιούν τους αποστολείς ώστε να φαίνονται αξιόπιστοι.
Αυτή η προσέγγιση συχνά της επιτρέπει να παρακάμπτει τους ελέγχους ασφαλείας. Φέτος, η κυβέρνηση των Η.Π.Α. κατηγόρησε την ομάδα για την εκμετάλλευση εσφαλμένων ρυθμίσεων πολιτικών DMARC (Domain-based Message Authentication, Reporting and Conformance) για την απόκρυψη των προσπαθειών κοινωνικής μηχανικής της.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η hacking συμμορία Kimsuky κλέβει διαπιστευτήρια με ρώσικα email
https://www.secnews.gr/632973/hacking-symmoria-kimsuky-klevei-diapisteuthria-me-rwsika-email/
Dec 3rd 2024, 13:44
Η hacking συμμορία Kimsuky, που συνδέεται με τη Βόρεια Κορέα, έχει εμπλακεί σε μια σειρά επιθέσεων phishing, χρησιμοποιώντας email που εμφανίζονται να προέρχονται από ρωσικές διευθύνσεις αποστολέα, με στόχο την κλοπή διαπιστευτηρίων.
Σύμφωνα με τη νοτιοκορεατική εταιρεία κυβερνοασφάλειας Genians, «μέχρι τις αρχές Σεπτεμβρίου, τα phishing emails αποστέλλονταν κυρίως μέσω ιαπωνικών και νοτιοκορεατικών υπηρεσιών email. Ωστόσο, από τα μέσα Σεπτεμβρίου, εμφανίστηκαν emails που φαινόταν να προέρχονται από τη Ρωσία.»
Δείτε σχετικά: Ιαπωνία: Επιθέσεις από τους hackers Kimsuky
Αυτές οι επιθέσεις περιλαμβάνουν την κατάχρηση της υπηρεσίας email Mail.ru της VK, η οποία υποστηρίζει πέντε alias domains: mail.ru, internet.ru, bk.ru, inbox.ru, και list.ru. Η Genians παρατήρησε ότι η συμμορία Kimsuky χρησιμοποίησε όλα αυτά τα domains για phishing καμπάνιες, που συνήθως μεταμφιέζονταν σε χρηματοοικονομικά ιδρύματα ή διαδικτυακές πύλες όπως το Naver.
Άλλες επιθέσεις περιλάμβαναν ψευδή μηνύματα που μιμούνταν την cloud υπηρεσία αποθήκευσης MYBOX του Naver, προσπαθώντας να παραπλανήσουν τους χρήστες, ώστε να κάνουν κλικ σε συνδέσμους. Αυτά τα μηνύματα δημιουργούσαν μια αίσθηση επείγοντος, υποστηρίζοντας ότι έχουν εντοπιστεί κακόβουλα αρχεία στους λογαριασμούς τους που πρέπει να διαγραφούν. Παραλλαγές αυτών των phishing emails εμφανίστηκαν από τα τέλη Απριλίου 2024, με τις πρώτες επιθέσεις να προέρχονται από domains αποστολέα σε Ιαπωνία, Νότια Κορέα και Η.Π.Α.
Διαβάστε περισσότερα: Οι Kimsuky hackers χρησιμοποιούν κακόβουλη επέκταση Chrome για κλοπή στοιχείων
Εν τω μεταξύ, κάποια από αυτά τα μηνύματα φαίνονταν να αποστέλλονται από domains όπως "mmbox[.]ru" και "ncloud[.]ru". Ωστόσο, περαιτέρω ανάλυση αποκάλυψε ότι οι επιτιθέμενοι χρησιμοποίησαν έναν παραβιασμένο email server που ανήκε στο Πανεπιστήμιο Ευαγγελία (evangelia[.]edu) και αξιοποίησαν μια mailer υπηρεσία βασισμένη σε PHP, γνωστή ως Star, για την αποστολή των emails.
Η χρήση νόμιμων εργαλείων όπως το PHPMailer και το Star από την ομάδα Kimsuky δεν είναι καινούρια, καθώς είχε καταγραφεί και στο παρελθόν από την εταιρεία ασφάλειας Proofpoint τον Νοέμβριο του 2021. Ο απώτερος στόχος αυτών των επιθέσεων είναι η κλοπή διαπιστευτηρίων, τα οποία μπορούν να χρησιμοποιηθούν για την παραβίαση λογαριασμών και την εκκίνηση περαιτέρω επιθέσεων σε άλλους χρήστες ή συνεργάτες των θυμάτων.
Δείτε επίσης: Χάκερ της Βόρειας Κορέας συνδέονται με παραβίαση της Diehl Defence
Η hacking συμμορία Kimsuky έχει αποδείξει ιδιαίτερη ικανότητα στη διεξαγωγή καμπανιών κοινωνικής μηχανικής μέσω email, χρησιμοποιώντας τεχνικές που παραποιούν τους αποστολείς ώστε να φαίνονται αξιόπιστοι.
Αυτή η προσέγγιση συχνά της επιτρέπει να παρακάμπτει τους ελέγχους ασφαλείας. Φέτος, η κυβέρνηση των Η.Π.Α. κατηγόρησε την ομάδα για την εκμετάλλευση εσφαλμένων ρυθμίσεων πολιτικών DMARC (Domain-based Message Authentication, Reporting and Conformance) για την απόκρυψη των προσπαθειών κοινωνικής μηχανικής της.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια